A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

1 Aula 01 Introdução Segurança da Informação We are what we repeatedly do. Excellence, then, is not an act, but a habit Aristoteles.

Apresentações semelhantes


Apresentação em tema: "1 Aula 01 Introdução Segurança da Informação We are what we repeatedly do. Excellence, then, is not an act, but a habit Aristoteles."— Transcrição da apresentação:

1 1 Aula 01 Introdução Segurança da Informação We are what we repeatedly do. Excellence, then, is not an act, but a habit Aristoteles

2 2 Mauro Mendes https://sites.google.com/site/mauromendesaulas Experiencia como docente -Unice – desde Faculdade Lourenço Filho- desde Disciplinas: Tcp/IP, Arquiteturas de Redes, Gerencia de Redes, Segurança Experiência profissional -Gerente de Infraestrutura Etice – desde Gerente de Suporte BEC – 1997 a Analista de Suporte BEC a 1996 Certificações -PMP (jul/2010) -CCNA (set/2003) Pós-Graduação :Unifor-Redes-1991 Graduação :UFC-Computação-1982 Mini-curriculum

3 3 Conforme definição da norma ABNT NBR ISO/IEC 27002:2005 A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, conseqüentemente, necessita ser adequadamente protegida. [...] A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. INTRODUÇÃO Ativo: Qualquer coisa que tenha valor para a organização. [ISO/IEC :2004]. Obs.: A ISO evoluiu para a NBR ISO/IEC (Gestão de Riscos) Ativo de Informação: qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio.

4 4 De acordo com a mesma norma ABNT NBR ISO/IEC 27002:2005 Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Conceito de Segurança da Informação A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

5 5 Esta Norma de Segurançafoi preparada para prover um modelo para EIOMAMM um Sistema de Gestão de Segurança da Informação (SGSI). EIOMAMM = estabelecer, implementar, operar, monitorar, analisarcriticamente, manter e melhorar ABNT NBR ISO/IEC 27002:2005

6 6 BÁSICOS (CID): Confidencialidade: garantir que a informação seja acessível apenas àqueles autorizados a ter acesso; Integridade: ter a disponibilidade de informações confiáveis, corretas e em formato compatível com o de utilização, ou seja, informações íntegras; Disponibilidade: garantia que o usuário do sistema de informação tenha o acesso quando necessário; A segurança da informação se caracteriza pela preservação dos seguintes atributos: ADICIONAIS: Autenticidade: assegurar que os usuários são aqueles que dizem ser; Não repudiação: garantir que a transação não pode ser negada ao usuário após o acesso; Responsabilidade: responsabilidade dos usuários com a integridade da informação e com os ativos da organização. Os princípios da segurança

7 7 S.G.S.I. - Sistema de Gestão de Segurança da Informação Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. [ABNT NBR ISO/IEC 27002:2005] TERMOS E DEFINIÇÕES ISO: International Organization for Standardization IEC: International Electrotechnical Commission ABNT: Associação Brasileira de Normas Técnicas

8 8 Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. [ISO/IEC :2004] TERMOS E DEFINIÇÕES Risco: combinação da probabilidade de um evento e de suas conseqüências. [ABNT ISO/IEC Guia 73:2005] Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. [ABNT NBR ISO/IEC 27002:2005] Ativo: qualquer coisa que tenha valor para a organização. [ISO/IEC :2004] Ativo de Informação: qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio

9 9 TERMOS E DEFINIÇÕES Evento de segurança da informação: ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044:2004] Incidente de segurança da informação: indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044:2004] Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. [ABNT ISO/IEC Guia 73:2005] IEC: International Electrotechnical Commission. Informação: agrupamento de dados que contenham algum significado. Risco: combinação da probabilidade de um evento e de suas conseqüências. [ABNT ISO/IEC Guia 73:2005]

10 10 Aprender a lidar e conviver com o risco, e não eliminá-lo completamente, o que na maioria das vezes é impossível. Para isso, deve se aprender a controlar os riscos. E, neste contexto, Beal (2005) acredita que a gestão de risco é o conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá- los com os custos operacionais e financeiros envolvidos. Objetivo da Segurança da informação

11 11 Ativo: NoBreak Proprietário: João Maria Ameaças: Apagão Vulnerabilidade: Problema em peças de reposição em caso de problema Probabilidade Risco (A) : 1 (1 a 100) Impacto Risco (B): 5 (1 a 5) Magnitude Risco: (A*B) Tratamentos: Ter nobreak redundante, Manutenção Preventiva, Contrato de manutenção com reposição de peças Riscos, Ativo, Ameaças, Vulnerabilidades

12 12 Plan(planejar) -estabelecer apolítica, objetivos, processos e procedimentosdoSGSI, relevantes para agestão de riscos ea melhoriadasegurançadainformação paraproduzir resultadosde acordocom aspolíticas e objetivosglobais deumaorganização. Do (fazer)- implementareoperarapolítica, controles, processos eprocedimentosdoSGSI. Check (checar) -avaliare, quandoaplicável, mediro desempenho deum processofrenteàpolítica, objetivos eexperiênciaprática doSGSI e apresent. os resultadosp/aanálise crítica pela direção. Act(agir) -Executaras ações corretivasepreventivas, com base nos resultadosdaauditoriainterna do SGSI eda análise crítica pela direçãoou outra informaçãopertinente, para alcançara melhoriacontínuadoSGSI. Normas Segurança baseadas no ciclo PDCA

13 13 O uso, pela Organização, de práticas comprovadas identifica que ela está alinhada com padrões internacionais e facilitará qualquer auditoria ou avaliação da organização no que se refere à proteção da informação. O Profissional de Segurança deve desenvolver ações alinhadas com as melhores práticas para a proteção e controle da informação. Como padrões de mercado aceitos e seguidos pela grande maioria das organizações e governos encontram-se o COBIT, ITIL e as Normas NBR ISO/IEC 27001,27002 Essas práticas recomendam a existência de processo formal de conscientização em segurança da informação, porém, não orientam como fazer essa conscientização. Então, por que devemos considerar essas práticas? Porque, de alguma forma, estaremos seguindo ou respondendo questionamentos que tomam por base essas práticas. Cada uma dessas práticas tem abordagem e escopo diferentes. OS PADRÕES COBIT, ITIL, ISO IEC 27000

14 14 As organizações requerem uma abordagem estruturada para estes e outros desafios. Isto garante que os objetivos traçados por TI, bons controles gerenciais e um efetivo monitoramento de performance são mantidos na trilha e evitam situações inesperadas. A necessidade de Governança de TI Manter TI operacional Segurança Valor/Custo Gerenciar ambiente complexo Alinhamento de TI com o negócio Atender a Órgãos reguladores

15 15 Modelo de Governança Corporativa e Governança de TI: Segurança ISO OutSourcing e-SCM/SAS70 Fábrica SW CMMi/MPS.br Projetos PMI/PMBok COBIT Serviços de TI ITIL/ISO 20k Governança de TI Melhores Práticas,Padrões, Normas e Área de Conhecimento Governança de Negócio Direcionadores Estratégicos Espontânea Compulsória Governança de Compliance Gestão de Risco e Controles Internos N2Basel IISOXN1 Bovespa/CVM Governança Corporativa BACEN NYSE Resultado & Desempenho Planejamento Estratégico (BSC) Agência Reguladora

16 16 PERFORMANCE Objetivos do Negócio CONFORMIDADE Basel II, Sarbanes- Oxley Act, etc. Governança Corporativa Governança de TI ISO 9001:2000 ISO ISO Padrões de Melhores Práticas ProcedimentosQA Processos e Procedimentos Drivers COBIT COSO Princípios de Segurança ITIL Balanced Scorecard Onde o Cobit se posiciona?

17 17 Organizações consideram e usam uma variedade de modelos de TI, padrões e melhores práticas. Isto deve ser entendido na forma como eles podem ser utilizados em conjunto, com o COBIT atuando como um consolidador. C OBI T ISO 9000 ISO ITIL COSO O que Como COBIT e outros Frameworks para TI Escopo de Cobertura

18 18 Estrutura de relações e processos para dirigir e controlar o ambiente de TI, orientando-a às metas da Organização e oferecendo métricas estruturadas com base BSC em 4 perspectivas: Financeira, Clientes, Processos e Inovação/Aprendizado. Além da Auditoria de Sistemas, o COBIT é muito utilizado para a Governança de TI, seguindo padrões para um ambiente globalizado. Cronologia de evolução do COBIT: ª versão elaborada pela ISACF - Information Systems Audit and Control Foundation; 19982ª versão, incluindo documentação de alto nível, controles, objetivos detalhados e criação do Implementation Tool Set 20003ª versão, com o foco em Governança de TI; 2005Versão 4, com adequações para melhor integração com regulamentações e compliance (Basiléia e Sarbanes-Oxley). COBIT - COMMON OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY

19 19 Planejar e Organizar: Implica uma visão estratégica para a Governança de TI, que busca a melhor realização dos objetivos organizacionais na área tecnológica; Adquirir e Implementar: Qualifica tanto a Identificação de soluções a serem desenvolvidas e/ou adquiridas como a implementação e integração ao ambiente, assegurando que o ciclo de vida destas soluções é adequado ao ambiente organizacional; Entregar e Suportar: Domínio responsável em verificar o tratamento de serviços demandados pelos processos de Negócios, recursos para a continuidade operacional, o treinamento e a segurança das operações. É neste domínio que se assegura a entrega de informações através do processamento de dados dos sistemas aplicativos, bem como todo o suporte necessário para sua operação no mal ou em situações anômalas; Monitorar: Administra o processo de controles da organização de TI e a garantia de independência nas Auditorias existentes. É fundamental para avaliar contínua e regularmente a qualidade e a conformidade dos controles implantados. COBIT : 4 dimensões, denominados Domínios Nesses 4 domínios existem, de forma detalhada, 34 processos de controles de alto nível e para estes processos foram criados 318 objetivos de controles necessários para analisar e atender aos requisitos de TI e, conseqüentemente, aos objetivos do Negócio. Como resultado de avaliação desses objetivos, criam-se as estratégias para mitigação de riscos existentes, baseados nos resultados obtidos.

20 20 Para cada um dos 34 processos, o COBIT contempla os Fatores Críticos de Sucesso e determina os Indicadores de Resultados (KGI) e Indicadores de Performance (KPI), que geram as métricas para a avaliação da Governança de TI, para Diretrizes de Auditoria e para a Segurança da Informação. O COBIT apresenta um modelo para atestar a maturidade de cada processo em uma escala de 5 estágios possíveis, sendo eles: 0 – Não existe; 1 – Inicial; 2 – Repetível e intuitivo; 3 – Processos definidos; 4 – Gerenciados; 5 – Processos otimizados. Para o Security Officer, o COBIT é utilizado como um modelo para um Programa de Segurança da Informação, INTEGRANDO segurança com os objetivos de TI relacionados aos negócios e também estruturando Políticas, Normas e Procedimentos de Segurança da Informação. COBIT – 34 PROCESSOS

21 21 Cobit Planejamento e Organização (PO) P01 - Definição plano estratégico TI P02 - Definição arquitetura de informação P03 - Determinação do direcionamento tecnológico P04 - Definição de Processos de TI, Organização e Relacionamentos P05 - Gerenciamento do Investimento de TI P06 - Comunicação de objetivos e direcionamento P07 - Gerenciamento de recursos humanos de TI P08 - Gerenciar Qualidade P09 - Avaliar e Gerenciar riscos de TI P10 - Gerenciamento de Projetos Aquisição e Implementação (AI) AI01 – Identificar soluções automatizadas AI02 - Aquisição e manutenção de sistemas aplicativos AI03 – Aquisição e manutenção de tecnologia de infra-estrutura AI04 – Habilitar a operação e uso AI05 – Obter recursos de TI AI06 – Gerenciar mudanças AI07 – Instalação, homologação de soluções e mudanças Entrega e Suporte (DS) DS01 – Definição de níveis de serviço DS02 - Gerenciamento de serviços de terceiros DS03 – Gerenciamento de performance e capacidade DS04 – Assegurar a continuidade dos serviços DS05 – Assegurar Sistema de Segurança DS06 – Identificar e alocar custos DS07 - Educar e treinar usuários DS08 – Gerenciar Service Desk e incidentes DS09 – Gerenciar configurações DS10 - Gerenciar problemas DS11 – Gerenciar dados DS12 – Gerenciar ambiente físico DS13 – Gerenciar operações Monitoramento e Avaliação (ME) ME01 – Monitorar e avaliar o desempenho de TI ME02 – Monitorar e avaliar os controles internos ME03 – Garantir Compliance (conformidade) com requisitos externos ME04 – Prover Governança de TI Cobit – Detalhes do Framework Os Processos do Cobit. São 34 processos, agrupados em 4 domínios : Control Objectives for Information and related Technology

22 22 Uma Ferramenta: para a Governança de TI; Aderência da TI ao Negócio: Requisições orientadas e fundamentadas das áreas-fim da Organização, atendendo aos objetivos estratégicos; Garantia de Qualidade: Harmonia e detalhamento para atender aos padrões e práticas de mercado, tais como: ITIL, ISO 27001, PMBOK; Gestão de Risco: Controles objetivos e detalhados; Governança Corporativa: habilita e facilita a Arquitetura empresarial (RACI– Responsible, Accountable, Consulted and Informed); Procedural: Definição de fluxos e processos de TI; Comunicação: Unifica a linguagem e divulga os processos de TI, em todos os níveis da Organização; Feedback: estimula os comentários, sugestões e recomendações de evolução. COBIT na Organização

23 23 COBIT ISO 27002

24 24 A ITIL é um conjunto de padrões que provê os fundamentos para o processo de gerenciamento dos recursos tecnológicos da TI. Apresenta uma abordagem prática dos processos de produção e entrega dos serviços, baseada em experiência. Seu foco, portanto, é no serviço prestado pela TI das Organizações, visando aumentar a qualidade desses serviços. Na Gestão de Segurança, o ITIL possui um processo específico para a Segurança da Informação, enfatizando a importância do adequado gerenciamento da SI e considerando os SLAs entre os processos do Negócio e os da TI. Além disso, recomenda que o gerenciamento de Segurança é parte integrante do trabalho de cada Gerente, em todos os níveis. FUNDAMENTOS - Valor da Informação: Confidencialidade; Integridade; Disponibilidade; ITIL – IT INFRASTRUCTURE LIBRARY

25 25 Processos ITIL

26 26 COBIT ITIL

27 27 A ISO/IEC é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pela ISO e pela IEC. Seu nome completo é ISO/IEC 27001: Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001". Seu objetivo é ser usado em conjunto com a ISO/IEC 27002, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança. Organizações que implementam um ISMS de acordo com as melhores práticas da ISO estão simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificação é totalmente opcional. NORMAS ISO IEC ISO-Organização Internacional p/Padronização-International Organization for Standardization Entidade que congrega os grémios de normalização de 170 países.Fundada em 1947, em Genebra-Suiça,, a ISO aprova nomras internacionais em todos os campos técnicos.nternacional IEC-A Comissão Eletrotécnica Internacional (International Electrotechnical Commission) é uma organização internacional de padronização de tecnologias eletricas, eletronicas e relacionadas. Alguns dos seus padrões são desenvolvidos juntamente com a ISO. A IEC foi fundada em 1906 em Genebra-Suíça)

28 28 NBR ISO/IEC Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS Contém requisitos para implantar um sistema de gestão de segurança da informação (SGSI). Antiga BS7799:2 NBR ISO/IEC Esta norma substituiu a ISO 17799:2005 (Código de Boas Práticas). Antiga BS e Gestão de SI (Medição) e Guia de Implantação de SGSI ISO Esta norma incidirá sobre os mecanismos de medição e de relatório de um sistema de gestão de segurança da informação NBR ISO/IEC – Gestão de Riscos e – Requisitos e Diretrizes para Auditoria de um SGSI 15999:1 e 15999:2 – Gestão de Continuidade de Negócios (Código de Prática e Requisitos) Normas Série 27000

29 29 Política de Segurança da Informação; Organizando a Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos; Segurança Física e do Ambiente; Gestão das Operações e Comunicações; Controle de Acesso; Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; Gestão de Incidentes de Segurança da Informação; Gestão da Continuidade do Negócio; Conformidade. A Norma ISO/IEC 27002,

30 30 1. O que é segurança da informação? Segundo a norma ABNT NBR ISO/IEC 27002:2005 (antiga NBR ISO/IEC 17799:2005, segurança da informação é a proteção da informação contra vários tipos de ameaças de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades de negócios. Ainda segundo a NBR ISO/IEC 17799:2005 a segurança da informação é caracterizada pela preservação dos três atributos básicos da informação: confidencialidade, integridade e disponibilidade. O objetivo da segurança da informação é aprender a lidar e conviver com o risco, e não eliminá- lo completamente, o que na maioria das vezes é impossível. Para isso, deve se aprender a controlar os riscos. E, neste contexto, Beal (2005) acredita que a gestão de risco é o conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá- los com os custos operacionais e financeiros envolvidos. PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

31 31 2. O que é a NBR ISO IEC 27001:2006? É a norma de certificação para Sistemas de Gestão da Segurança da Informação, editada em português em abril de 2006 e que substituiu a BS Esta norma foi preparada para prover um modelo para o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação. A NBR ISO IEC e NBR ISO IEC formam o par consistente de normas relativas a Sistema de Gestão de Segurança da Informação. PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

32 32 3. O que é a NBR ISO/IEC 27002:2005 (antiga NBR ISO/IEC 17799)? A NBR ISO/IEC é a versão brasileira da norma ISO homologada pela ABNT, a versão válida é de É o Código de Prática para Gestão da Segurança da Informação. Serve como referência para a criação e implementação de práticas de segurança reconhecidas internacionalmente, incluindo: Políticas, Diretrizes, Procedimentos, Controles. É um conjunto completo de recomendações para: Gestão da Segurança de Informação e Controles e práticas para a Segurança da Informação. Atenção: a norma de certificação é a NBR ISO IEC 27001:2006, a NBR ISO IEC é somente uma norma de referência contida na norma de certificação. 4. Qual é a importância que as organizações dão hoje a ISO 27001? Todas as grandes organizações do mundo, sejam públicas ou privadas, já tomaram conhecimento sobre as normas ISO. Diversas pesquisas demonstram que muitas dessas organizações já estão incorporando os controles das normas em suas políticas de segurança. 5. Qual é a importância da ISO 27001? Ela permite que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, são constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas. 6. Essas normas se aplicam a qualquer tipo de organização? As normas foram criadas e se adaptam bem a organizações comerciais. Instituições de ensino, instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da norma para implementar segurança da informação em suas instalações. PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

33 33 6. Essas normas se aplicam a qualquer tipo de organização? As normas foram criadas e se adaptam bem a organizações comerciais. Instituições de ensino, instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da norma para implementar segurança da informação em suas instalações. 7. O que é SGSI? Sistema de Gestão de Segurança da Informação é o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para segurança da informação. Uma empresa que implante a norma ISO acaba por constituir um SGSI. 8. Quais são as etapas para se constituir um SGSI? Em primeiro lugar, deve-se definir quais são seus limites (sua abrangência física, lógica e pessoal). Depois devem ser relacionados os recursos que serão protegidos. Em seguida relaciona-se quais são as possíveis ameaças a esses recursos, quais são as vulnerabilidades a que eles estão submetidos e qual seria o impacto da materizalização dessas ameaças. Por fim,com base nessas informações, são priorizados os controles necessários para garantir a segurança desses recursos. PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

34 34 9. Para implantar a norma em uma empresa é obrigatório empregar todos os seus controles? Não. Aplicam-se somente os controles para os serviços, facilidades, espaços e condições existentes na empresa. Por exemplo, se a empresa não tem acesso remoto de usuários, todos os controles referentes a esse tipo de acesso podem ser ignorados. 10. O que é a Declaração de Aplicabilidade? É um documento exigido pela NBR ISO IEC no qual a empresa tem que relacionar quais controles do Anexo A são aplicáveis e justificar os que não são aplicáveis ao seu SGSI. 11. Como obter a norma NBR ISO IEC 27001? As normas NBR ISO, assim como as de outros países, têm direitos autorais. As normas da série NBR ISO devem ser adquiridas na ABNT Associação Brasileira de Normas Técnicas. 12. Como a ISO se relaciona com as normas ISO 9000 e ISO 14000? A ISO harmoniza-se com essas normas na medida que segue a suas estruturas e conteúdos. A inclui um PDCA semelhante aos existentes na ISO 9001 e ISO com objetivo de estabelecer um contínua gestão da segurança da informação. PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

35 O que é PDCA? PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) é um método de gestão que se carateriza por um ciclo de ações que se repete continuamente de forma a incorporar alterações no ambiente. Nas normas de gestão acima mencionadas é empregado para garantir uma efetiva gestão da empresa. 14. Existe legislação que obrigue o uso da ISO 27001? As leis variam de país para país. A rigor não existem leis que obriguem o emprego de tais normas. No Brasil, existem recomendações no sentido de empregar-se a norma emitidas por entidades como a Fenabam, o Conselho Federal de Medicina, a ICP-Brasil, dentre outros. No Reino Unido, a Data Protection Act promulgada em 1998 e, nos Estados Unidos, a lei Sarbanes-Oxley (que atinge subsidiárias de empresas americanas de capital aberto instaladas no Brasil), promulgada em 2002, determinam cuidados no trato das informações que, na prática, obrigam as empresas a empregar a ISO 27001/ISO como uma forma de demonstrarem que estão procurando cumprir os requisitos de segurança determinados por essas leis. 15. O que é certificação? A certificação é um documento emitido por uma entidade certificadora independente que garante que uma dada empresa implantou corretamente todos os controles da norma aplicáveis. A certificação é emitida após uma auditoria externa para verificação da conformidade da empresa com a norma. PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

36 Para que serve a certificação? Ela comprova, para as empresas certificadas, que a segurança da informação está garantida de forma efetiva, o que não significa, contudo, que a empresa esteja imune a violações de segurança. Além disso, a certificação comprova, para os clientes e fornecedores da empresa, o a preocupação que esta tem com a segurança da informação, reforçando sua imagem junto ao mercado. Dependendo da atividade da empresa, essa certificação pode ser essencial para a realização de certos negócios. 17. Pode-se aplicar a ISO e realizar apenas uma auditoria interna? Sim. Na realidade, a maior parte das empresas a emprega dessa forma, uma vez que elas ainda não identificaram a necessidade/possibildade de realizarem a certificação. 18. Qual é o custo de uma certificação? O custo depende de vários fatores, tal como quanto tempo o responsável pela certificação necessita para avaliar a conformidade da empresa com relação à norma, o tamanho e a complexidade da empresa e de seus sistemas. 19. Muitas empresas já obtiveram a certificação? Até o final de 2004, mais de 2017 empresas em todo mundo receberam a certificação BS a certificação NBR ISO 27001:2005 até o presente momento somente 1 empresa obteve no mundo, e esta empresa foi no Brasil, Módulo Security. Informações atualizadas. Informações atualizadas podem ser obtidas no site. Hoje (24/1/12), 24 empresas BR e 7536 no mundo, atualizado PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

37 37 Japan4152Greece50 UK573Ireland48 India546Austria42 Taiwan461Turkey35 China393Turkey35 Germany228France34 Czech Republic112Hong Kong32 Korea107Australia30 USA105Singapore29 Italy82Croatia27 Spain72Slovenia26 Hungary71Mexico25 Malaysia66Slovakia25 Poland61Brazil24 Thailand Total7940 Certificações no mundo – Posição em agosto/2012

38 38 Certificações no Brasil – Posição em agosto/2012 Atos Origin Brasil LtdaPromon Tecnologia Ltda Axur Information SecuritySamarco Mineração S/A. BTSERASA S.A. BT Global Services Sao Paulo SOC/NOCServiço Federal de Processamento de Dados - SERPRO Cardif do Brasil Vida e Previdencia S/ASuperior Tribunal de Justiça CIP Camara Interbancaria de PagamentosTelefonica Empresas S/A Fucapi-FundacaoTivit Tecnologia da Informacao S.A. IBM ITD BrazilTIVIT TERCEIRIZAÇÃO DE TECNOLOGIA E SERVIÇOS S.A. Módulo Security Solutions S/AT-Systems Brazil Poliedro - Informática, Consultoria e Serviços Ltda.T-Systems do Brasil Ltda. ProdespUNISYS Global Outsourcing Promon Engenharia Ltda.Zamprogna S/A Importacao

39 Quantas e quais empresas foram certificadas no Brasil? Cinco empresas brasileiras obtiveram a certificação até 2004: Módulo Security, Banco Matone, Serasa, Samarco Mineração e Unisys. Sendo que a Módulo já fez a transição para a NBR ISSO IEC Informações atualizadas sobre empresas certificadas no Brasil e no mundo podem ser obtidas no site Em 20/01/2010 temos 6037 certificações no mundo e 23 no Brasil (Exemplos: Módulo, Serasa, Banco Matone, Samarco, Unisys, PRODESP, SERPRO, Telefônica)www.xisec.com 21. Quem concede o certificado? Os certificados são emitidos por entidades certificadoras acreditadas por órgãos de credenciamento nacionais ou internacionais após realização de auditorias. 22. Como são feitas estas auditorias? A auditoria do Sistema de Gestão da Segurança da Informação é dividida em 2 etapas: Auditoria de Documentação, conhecida como Fase 1 e Auditoria de Certificação, conhecida como Fase 2. Podendo existir também a Pré-Auditoria, esta por sua vez é opcional. 23. O que é Auditoria de Documentação? Em razão do tema abordado esta norma envolve documentos e informações, muitas vezes, confidenciais, desta forma, fazem-se necessário uma análise prévia destes nas instalações da própria empresa visando à verificação de sua adequação e a segurança dos dados. A Auditoria de Documentação é o primeiro contato com a equipe auditora. PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

40 Qual a diferença entre a Auditoria de Documentação e a Pré-auditoria? A Auditoria de Documentação tem como foco a seguinte documentação: Declaração de Aplicabilidade, Relatório de Avaliação de Riscos e Análise Crítica pela Direção entre outros possíveis documentos associados a estes, conforme aplicável. Esta análise não contempla procedimentos e práticas específicos, uma vez que estes são objeto da Pré- auditoria, que tem por objetivo a análise crítica da adequação do sistema à norma. 25. Pré-auditoria é o mesmo que Auditoria de Pré-certificação? Sim. Os dois termos são usados e reconhecidos pelo mercado para identificar um mesmo tipo de auditoria. 26. Quando devo solicitar a Pré-auditoria? Após a implantação do Sistema de Gestão da Segurança da Informação e após ter realizado pelo menos um ciclo de auditoria interna e pelo menos uma análise crítica pela direção a empresa pode solicitar a realização da Pré-auditoria para verificar o nível de adequação à norma em questão. 27. Minha empresa já possui a certificação pela norma anterior. Também posso solicitar uma Pré-auditoria segundo a nova versão? As empresas já certificadas podem solicitar a realização da Pré-auditoria para verificar o nível de adequação à norma em questão, após a adequação do SGSI e após ter realizado pelo menos um ciclo de auditoria interna. PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

41 Para que serve a Pré-auditoria? A Pré-auditoria tem como principal objetivo a detecção de eventuais problemas conceituais que possam vir a ser despercebidos pela empresa em processo de certificação. Seria um exemplo de problema conceitual, a não aplicação de um requisito ou controle que influencie na Segurança da Informação da empresa. Isto pode ocorrer em razão de uma incorreta interpretação da norma para o negócio da empresa e/ou escopo considerado(s). No entanto, nestes casos a certificação não pode ser recomendada, causando transtornos para a empresa e uma certa decepção para todos os envolvidos. A fim de reduzir os riscos de não certificação por problemas de adequação, os organismos certificadores em todo o mundo passaram a realizar análises prévias, estas análises prévias são chamadas de pré-auditoria. 29. Como é feita a pré-auditoria? A Pré-auditoria é realizada nas instalações da empresa e segue os mesmos passos da Auditoria de Certificação: Reunião de Abertura, investigação, relato das não- conformidades e reunião de encerramento. Geralmente a equipe auditora da Pré- auditoria será a mesma da Análise Documental e da Auditoria de Certificação. São verificados os procedimentos e a documentação em relação à sua adequação à norma de referência. O tempo dimensionado para esta auditoria, normalmente não permite que a equipe auditora tenha tempo para verificar se as práticas descritas na documentação estão adequadamente implementadas isto é o que chamamos de auditoria de conformidade, que será realizada durante a Auditoria de Certificação (Inicial) e nas Auditorias de Manutenção (Anuais ou semestrais). PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

42 No meu orçamento consta uma Pré-auditoria de um dia. Posso solicitar mais um ou dois dias? Sim. A carga horária definida no orçamento é mínima para checar todos os itens da norma. No entanto, caso a empresa deseje uma análise mais aprofundada, a carga horária poderá ser aumentada sem problema algum. Haverá um aumento proporcional no preço do evento. 31. Posso pular a Pré-auditoria e ir direto para a Auditoria de Certificação? Sim. Tomando-se como base a experiência adquirida ao longo do tempo em certificações de sistemas de gestão, a FCAV recomenda fortemente a realização da Pré- auditoria, no entanto, se a empresa tem muita segurança na adequação e conformidade do seu sistema de gestão não há problema algum em ir direto para a Auditoria de Certificação. 32. Se o auditor não encontrar problemas na Pré-auditoria posso já receber o certificado? Não. A Pré-auditoria tem objetivo distinto da Auditoria de Certificação. A Pré-auditoria verifica a adequação do sistema, não colhendo evidências suficientes de que as práticas refletem o planejamento contido nos procedimentos. A verificação da implementação é feita na Auditoria de Certificação que não pode ser dispensada em nenhum caso. PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

43 Qual é o prazo entre a Auditoria de Documentação e as Auditorias de Précertificação, Certificação e Manutenção? Com exceção às Auditorias de Manutenção, que devem ocorrer no mínimo anualmente, não há um prazo expressamente definido para que estes eventos ocorram, e os mesmos podem ser discutidos e acordados, conforme as necessidades de cada empresa. No entanto, a FCAV recomenda que a Auditoria de Documentação ocorra pelo menos 30 dias antes da Auditoria de Certificação e, caso seja solicitada, 30 dias antes da Pré-auditoria. 34. Quem faz parte da equipe auditora? Normalmente, a equipe auditora é formada por um ou dois auditores com experiência em auditoria e conhecimentos do segmento de negócio da empresa. Por se tratar de uma norma específica, as auditorias do Sistema de Gestão de Segurança da Informação devem contar sempre auditores que detenham conhecimentos técnicos suficientes para compreender a linguagem dos auditados. PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001


Carregar ppt "1 Aula 01 Introdução Segurança da Informação We are what we repeatedly do. Excellence, then, is not an act, but a habit Aristoteles."

Apresentações semelhantes


Anúncios Google